撰文:Maggie@Foresight Ventures
大家下午好!感谢大家的到来。我是 Foresight Ventures 的研究负责人 Maggie。在接下来的 20 分钟里,我们将从风险投资的角度深入探讨全同态加密(Fully Homomorphic Encryption,FHE),并探讨为什么我们认为它是一项具有变革性的投资。
那么,我们为何要投资全同态加密呢?这得从 Web3 的隐私需求说起。
在 Web3 中,隐私极其重要。如果没有良好的隐私措施,就会有很多欺诈和攻击行为。
例如,在 MEV 问题中,三明治攻击可能会让用户遭受损失。还有吸血鬼攻击,竞争对手可以窃取你的客户,因为他们知道你的客户地址。此外,隐私泄露也是一个大问题。如果你的钱包地址被泄露,就好像你所有的消费记录在现实生活中被曝光一样,你没有了隐私,而且很可能成为欺诈和网络钓鱼攻击的目标。在区块链上,虽然在某些方面保持透明是好事,但这也使富有的用户和协议成为黑客的目标。
所以我们需要有效的隐私保护方法。
有必要明确的是,隐私保护并不等同于匿名。并且,Confidential transaction 也与 Private transaction 不同。(本文中,Confidential 交易可以理解成隐匿交易或内容隐私交易,Private 交易理解成全隐私交易。本文中用「隐私交易」就统称了这两种交易。)
- Confidential transaction 旨在保护交易内容的隐私。
- Private transaction 不仅要保护交易内容的隐私和参与方的身份,还应确保交易不可追踪且难以关联。
按照这个定义,比特币(BTC)和以太坊(ETH)上的转账既不是 Confidential 交易也不是 Private 交易。
让我们来看看隐私交易技术的历史。这样你就能明白为什么全同态加密能够带来改变。
2013 年,混币技术出现了。混币服务将多个用户的币混合在一起,并发送到多个目标账户,使得交易更难被追踪和关联。然而,一些工具仍然可以检测到交易之间的关联。
随后,出现了诸如门罗币之类的隐私币,其借助环签名和一次性密钥来隐匿发送者与接收者。门罗币的隐私功能被普遍认为是很有效的。
2015 年,以太坊问世,智能合约大受欢迎。但用户们意识到,所有这些隐私保护方法都基于类似 BTC 的 UTXO 模型。而对于像 ETH 这样基于账户模型的区块链,却没有办法实现隐私保护。
自 2016 年起,零知识证明开始在隐私保护协议中得以应用。
Tornado Cash 是以太坊上的一种零知识混币协议,它借助零知识证明切断存款地址与取款地址之间的联系,提供一种并非完全的隐私保证。
Zcash 提供可选择的隐私特性,用户能够在常规的透明地址和用于实现匿名的屏蔽地址之间进行抉择。Zcash 构建于一个扩展的 UTXO 模型之上,该模型仅支持转账。
在那个时候,我们依旧没有隐私的智能合约。
最后,随着我们进入 2022 年,我们开始看到零知识证明(ZK)和全同态加密(FHE)在实现隐私智能合约中的应用。
像 Aztec 和 Aleo 这样基于零知识证明的项目,采用了由 Zcash 开创的隐私方法并加以改进,现在支持隐私智能合约。然而,它们也是基于一种类似扩展的未花费交易输出(UTXO)模型。并且它们以隐私为先的特性从根本上与以太坊虚拟机(EVM)架构和 Solidity 语言的语义不兼容。而且由于它们不能支持加密共享状态,隐私智能合约在合约逻辑和应用方面存在局限性。
最终,像 ZAMA、Fhenix 和 Inco 等项目决定使用全同态加密来实现链上隐私。ZAMA 实现了全同态加密以太坊虚拟机(fhEVM)。fhEVM 与 EVM 兼容并且完全支持 Solidity 语言。它还支持加密共享状态,允许全局状态在加密的同时仍然可用,并且支持任意计算。这种灵活性使全同态加密能够处理更广泛的业务逻辑并满足多样化的需求。
基于全同态加密的隐私智能合约是一个令人难以置信的突破,我们相信全同态加密将重塑链上隐私。
为什么全同态加密有如此好的灵活性呢?
全同态加密允许我们对加密数据执行任何类型的操作。当我们对这些操作的结果进行解密时,它与我们在明文上进行相应操作的结果是相同的。
这是一个超级理想的隐私特性。但它非常难以实现。这就是为什么全同态加密被称为密码学的圣杯。
有了隐私智能合约,我们可以做很多以前做不到的事情。以下是 Fhenix 提到的用例。
Fhenix 正在引领全同态加密在链上的应用。他们的团队由许多顶尖的加密领域专家组成。首席执行官 Guy Itzhaki 在隐私计算和网络安全方面拥有数十年的经验。在过去的几年里,他领导了英特尔的全同态加密业务开发团队。
Fhenix 于去年 7 月推出了一个私有开发网络(Devnet)。这个 Devnet 就像是一个很酷的游乐场,供感兴趣的开发者使用。开发者可以轻松地将他们现有的以太坊虚拟机(EVM)代码移植到 Fhenix 上。只需进行一些调整,他们就可以使他们的代码成为原生全同态加密代码。我们非常兴奋地支持 Fhenix 团队,因为他们正在使用全同态加密构建链上隐私的未来。
他们提到的应用可以分为两大主要类别。
- 一组是与全同态加密以太坊虚拟机(fhEVM)相关的用例。它解锁了更灵活的隐私交易和隐私 DeFi。有了隐私 DeFi,用户可以秘密地进行交易、借贷和提供流动性等操作。它最大限度地减少了欺诈和黑客攻击的机会,并使用户免受抢先交易和 MEV 机器人的影响。我们也对与治理和自治世界相关的用例感到兴奋。全同态加密实现了链上隐私投票,有助于防止公开投票中经常出现的选民偏见和群体思维。对于自治世界,许多链上游戏可以利用全同态加密来保护商业策略和用户的敏感数据,如位置信息。
- 另一组是关于人工智能的,如去中心化身份(DID)和隐私的去中心化人工智能。去中心化人工智能在两个方面需要隐私保护。一是保护模型。当有人使用大量的计算能力和数据成本来训练一个模型并提供服务时,保持模型的隐私很重要。二是保护输入和输出。当敏感数据,如医疗数据或面部图像在推理过程中用于输入 / 输出时,人们希望保持其隐私。有了全同态加密,你可以在加密数据上进行训练和推理而无需解密。
在跨链桥和链上合规方面也有一些创新用途。有了全同态加密,人们可以在链 A 上存储链 B 的私钥,反之亦然。这可以实现最方便的跨链信息传输,并显著降低跨链流程的复杂性。通过去中心化身份和账户抽象,我们可以实现一些链上合规方法。
那么,我们为什么要投资全同态加密呢?
- 首先,隐私保护在 Web3 领域极其关键。
- 其次,我们认为全同态加密是解决大多数隐私保护问题的最佳方案。全同态加密具有出色的隐私保护能力,并支持能对加密全局状态进行任意计算的隐私智能合约。作为下一代隐私技术,它不仅将重塑链上隐私,还将改变 Web2 和 Web3 中所有计算的方式。
- 最后,全同态加密在 Web3 中有广泛的潜在用例。隐私交易、去中心化金融和人工智能都是极具前景的场景。我们也对跨链桥、治理、自治世界和链上合规方面的创新机会感到兴奋。我们相信,全同态加密很可能比零知识证明发展得更好。零知识证明主要在 Web3 中使用,而全同态加密将在 Web2 和 Web3 中得到广泛应用。
当然,我们对全同态加密也有一些担忧。
全同态加密的性能和可扩展性仍然是主要挑战。
目前,虽然全同态加密是可用的,但它仍然非常有限,全同态加密以太坊虚拟机(fhEVM)的处理能力大约为 5 笔每秒(TPS),与比特币类似,比特币也只有 7 TPS。
目前,许多团队正在努力通过硬件加速、软件优化和算法改进来提高全同态加密的性能。
当我们看到零知识证明的性能是如何提高的时候,我们会发现,在过去几年里,零知识证明技术一直在以摩尔定律般的速度增长。
- 新算法在证明时间、证明大小和验证时间方面使性能提高了几十倍。
- 零知识证明专用集成电路(ZK ASIC)芯片可以使零知识证明的计算开销降低 100 倍。
- 零知识证明应用也在竞相提高速度。Risk Zero 的证明系统比 Plonky3 更快,所以相应的零知识证明虚拟机(ZKVM)速度要快几倍。
所以,我们相信,FHE 加上了 Web3 的支持后,FHE 的性能可以像我们在零知识证明技术中看到的那样,得到巨大的、指数级的提升。
在成本方面,全同态加密和零知识证明相对来说计算成本都较高,并且需要一定量的资源。高昂的 Gas Fee 将影响有多少人使用区块链以及我们能拥有什么样的应用程序。
因此,使全同态加密更快且更具成本效益是这项技术未来发展的一个关键长期目标。
第二个担忧是关于用户为隐私保护付费的意愿。
- 我们需要在提供强大的隐私保护和为用户保持合理成本之间找到平衡。
- 此外,我们需要选出全同态加密最有价值的用例,并将我们的努力集中在这些用例上。除了隐私交易,让我们开发一些具有开创性的应用程序。
最后,在合规性和在交易所上市方面也是存在挑战的。
具有强大隐私性的项目将面临更严格的监管和法律问题。例如,美国将 Tornado Cash 列入黑名单。
在交易所上市方面,像门罗币这样的纯隐私币已从主要的中心化交易所下架,而像 Zcash 这样具有可选隐私功能的项目仍在上市。
为了应对这些挑战,我们建议:
- 全同态加密项目提供可选隐私而非完全隐私。
- 此外,项目可能需要考虑建立机制,在法律要求的情况下,如根据法院命令,让政府通过相关实体或某些合规隐私技术在可控情况下访问一些隐私信息。
展望未来,我们看到全同态加密在未来可以在几个关键领域投入更多努力。
- 首先,提高全同态加密的性能并降低其成本至关重要。
- 其次,选出除了隐私交易之外有价值的隐私用例很重要。找到那些用户真正有可能为隐私付费、市场规模大且没有全同态加密就很难实现的用例。开发具有开创性的应用程序。
- 最后,我们建议提供可选隐私而非完全隐私。并开发合规友好型隐私技术以满足监管要求。